Έχει παρατηρηθεί μια “multi-faceted” καμπάνια που εκμεταλλεύεται νόμιμες υπηρεσίες, όπως το GitHub και το FileZilla για τη διανομή κακόβουλων προγραμμάτων κλοπής και τραπεζικών trojans.
Η καμπάνια αυτή, όπως το Atomic (γνωστό και ως AMOS), το Vidar, το Lumma (γνωστό και ως LummaC2) και το Octo, πλαστοπροσωπεί αξιόπιστο λογισμικό όπως το 1Password, το Bartender 5 και το Pixelmator Pro.
Δείτε επίσης: Latrodectus Malware Loader: Ο διάδοχος του IcedID στις phishing καμπάνιες
«Η ύπαρξη πολλαπλών παραλλαγών κακόβουλου λογισμικού υποδεικνύει μια εκτεταμένη στρατηγική στόχευσης μεταξύ πλατφορμών. Παράλληλα, η υποδομή C2 υποδηλώνει κεντρική διαχείριση εντολών, πιθανώς ενισχύοντας την αποτελεσματικότητα των επιθέσεων», ανέφερε σε έκθεση το Insikt Group του Recorded Future.
Η εταιρεία κυβερνοασφάλειας, που παρακολουθεί τη δραστηριότητα με την ονομασία GitCaught, ανέφερε ότι η καμπάνια υπογραμμίζει όχι μόνο την κακή χρήση αυθεντικών διαδικτυακών υπηρεσιών για τη διοργάνωση των κυβερνοεπιθέσεων, αλλά και την εξάρτηση από πολλές παραλλαγές κακόβουλου λογισμικού που στοχεύουν Android, macOS και Windows, αυξάνοντας έτσι την πιθανότητα επιτυχίας.
Οι αλυσίδες επιθέσεων περιλαμβάνουν τη χρήση ψεύτικων προφίλ και αποθετηρίων στο GitHub, τα οποία φιλοξενούν παραπλανητικές εκδόσεις γνωστού λογισμικού με στόχο την υποκλοπή ευαίσθητων δεδομένων από παραβιασμένες συσκευές. Στη συνέχεια, οι σύνδεσμοι προς αυτά τα κακόβουλα αρχεία ενσωματώνονται σε διάφορους ιστότοπους και διανέμονται μέσω κακόβουλων διαφημίσεων (malvertising) και poisoning SEO.
Ο αντίπαλος πίσω από την επιχείρηση, ο οποίος πιθανολογείται ότι είναι ρωσόφωνοι παράγοντες απειλής από την Κοινοπολιτεία Ανεξάρτητων Κρατών (CIS), έχει επίσης παρατηρηθεί να χρησιμοποιεί διακομιστές FileZilla για τη διαχείριση και την παράδοση κακόβουλου λογισμικού.
Περαιτέρω ανάλυση των αρχείων εικόνας δίσκου στο GitHub και της σχετικής υποδομής αποκάλυψε ότι οι επιθέσεις συνδέονται με μια ευρύτερη καμπάνια, η οποία έχει στόχο τη διανομή των RedLine, Lumma, Raccoon, Vidar, Rhadamanthys, DanaBot και DarkComet RAT από τον Αύγουστο του 2023.
Η οδός μόλυνσης από το Rhadamanthys είναι επίσης αξιοσημείωτη για το γεγονός ότι τα θύματα που προσγειώνονται στους ψεύτικους ιστότοπους εφαρμογών ανακατευθύνονται σε ωφέλιμα φορτία που φιλοξενούνται στο Bitbucket και στο Dropbox, υποδηλώνοντας μια ευρύτερη κατάχρηση νόμιμων υπηρεσιών.
Διαβάστε περισσότερα: Το SugarGh0st RAT malware στοχεύει εταιρείες AI
Εκτός των άλλων, η ομάδα Microsoft Threat Intelligence ανέφερε ότι το backdoor του macOS με την κωδική ονομασία Activator παραμένει μια «πολύ ενεργή απειλή». Διαδίδεται μέσω αρχείων εικόνας δίσκου που προσποιούνται σπασμένες εκδόσεις νόμιμου λογισμικού και κλέβουν δεδομένα από εφαρμογές πορτοφολιού όπως το Exodus και το Bitcoin-Qt.
«Ενθαρρύνει τον χρήστη να το εκτελέσει με αυξημένα προνόμια, απενεργοποιώντας το macOS Gatekeeper και το Κέντρο Ειδοποιήσεων,» σύμφωνα με τον τεχνολογικό γίγαντα. «Στη συνέχεια, κατεβάζει και εκτελεί πολλαπλά στάδια κακόβουλων σεναρίων Python από διάφορους τομείς εντολών και ελέγχου (C2), προσθέτοντας τα κακόβουλα σενάρια στο φάκελο LaunchAgents για να εξασφαλίσει την παρουσία του».
Πηγή: thehackernews
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/564989/hackers-ekmetalleuontai-github-kai-filezilla-gia-na-diadwsoun-cocktail-malware/&media=https://www.secnews.gr/wp-content/uploads/2024/05/cocktail-malware-1.png&description=Έχει παρατηρηθεί μια "multi-faceted" καμπάνια που εκμεταλλεύεται νόμιμες υπηρεσίες, όπως το GitHub και το FileZilla για τη διανομή κακόβουλων προγραμμάτων κλοπής και τραπεζικών trojans.){kind=link}